注意：以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

权限标记

概述

权限标记为Foundry中的文件、文件夹和项目提供了额外的访问控制层。权限标记定义了限制可见性和操作的资格标准，只有符合这些标准的用户才能访问资源。要访问某个资源，用户必须是该资源上应用的所有权限标记的成员。平台管理员通常在组织内管理权限标记。

访问权限标记是二元的（全有或全无）。无论角色如何，用户必须满足所有权限标记要求，否则无法以任何方式访问文件。

权限标记旨在允许数据保护官员集中管理和审计谁可以访问任何给定的数据类别。权限标记的一个常见应用案例是限制对个人身份信息（PII）的访问。例如，您可能有一组用户，他们只有在完成一系列培训后才有资格访问敏感的PII数据。平台管理员可以创建一个PII权限标记并将其应用于敏感数据集。此权限标记确保对PII的访问仅限于合适的用户，不能超出该组共享。

权限标记是强制性控制，而角色是可选择性控制。强制性控制通过要求用户拥有特定的权限标记来限制访问数据。权限标记本身的扩展访问权限是一个集中管理的权限，需要此权限才能移除权限标记。例如，即使用户对一个标记有PII权限标记的数据集拥有所有者角色，他们的所有者角色也不允许他们在没有扩展访问权限的情况下移除权限标记。相对而言，可选择性控制通过数据共享工作流程扩展访问而无需集中限制。例如，任何对某个资源拥有所有者角色的用户都可以将所有者角色授予其他用户或组。

用户必须是文件、文件夹或项目上所有权限标记的成员才能获得访问权限，因为权限标记是合取的（布尔AND）。

继承

权限标记沿文件层次结构和直接依赖关系继承，并通过变换和分析逻辑传播。所有从标记的文件、文件夹或项目派生的资源都将继承权限标记，除非明确移除权限标记。与基于角色的访问不同，权限标记随数据一起移动。文件可以通过两种方式继承权限标记：通过文件层次结构和/或通过数据依赖关系。

文件层次结构

文件可以通过包含的项目或文件夹继承权限标记。如果项目或文件夹有权限标记，则其中的每个文件或文件夹都继承该权限标记。这意味着限制对项目或文件夹的访问总是会限制对其内部所有内容的访问。

markings-project

markings-folder

以下截图显示了在假定的数据集上沿文件层次结构继承的PII权限标记。

marking-file-inheritance

数据依赖关系

限制对数据集的访问总是限制对从中派生的数据的访问。这是因为数据集文件可以从其依赖的数据集中继承权限标记，例如上游数据集。如果数据集有文件权限标记，则所有依赖于它的数据集都会继承该权限标记，而继承的权限标记被称为数据标记。

markings-dataset

以下截图显示了在假定的数据集上沿数据依赖关系继承的PII权限标记。

markings-requirements

请注意，用户可能在不满足上游数据集继承的数据访问要求的情况下满足文件访问要求。在这种情况下，用户可以检测派生数据集的存在并查看文件元数据，但无法访问文件数据集中的数据，如下图所示。这与用户无法发现资源因为不满足文件权限标记要求的情况不同。

Error message indicating no access to a marking.

应用权限标记被视为敏感操作，因为权限标记会立即沿所有文件和数据依赖关系继承。这可能会无意中锁定下游的其他用户。在使用权限标记之前，请查看如何安全应用权限标记。

同样，移除权限标记也被视为敏感操作。您可以从最初应用权限标记的文件、文件夹或项目中移除权限标记，这将立即移除下游文件和数据依赖关系中的权限标记。或者，可以在变换中移除权限标记，这只会沿数据依赖关系移除权限标记。在移除权限标记之前，了解如何安全移除权限标记。

使用权限标记

权限标记旨在限制对文件、文件夹和项目等资源的访问。权限标记不应被用于提供访问权限。当用户满足一组权限标记标准时，他们将获得对权限标记和相关资源的访问。然而，有资格访问的用户不应总是拥有访问权限。用户应基于项目上的基于角色的权限被授予对文件的访问。

例如，假设使用PII权限标记来限制对包含员工PII的所有Foundry数据的访问。此PII可能存在于财务记录中（如社会安全号码）、健康记录中（如年龄、性别或诊断信息）或其他个人数据（如姓名或地址）。

要处理PII，用户需要接受适当的培训。假设财务部门的一名用户已完成所需培训并有资格获得PII权限标记。由于该用户来自财务部门，因此用户在一个财务数据项目上被授予只读角色。即使此用户有资格查看其他包含员工PII的数据，他们在项目中的角色仍然决定他们的访问级别。

权限标记应被用于定义需要额外保护的敏感数据的访问限制。有几种方法可以应用与数据敏感性相关的权限标记：

每个敏感数据类别一个权限标记
- 在最常用的权限标记结构中，每个敏感数据类别创建一个权限标记。每个权限标记限制对包含数据类别的所有资源的访问。如果数据具有多种类型的敏感性，则将所有相应的权限标记应用于资源；只有有资格访问所有相关敏感类别的用户才能获得资源的访问权限。
- 您可能会发现为权限标记要求和敏感性类型建立明确的标准很有用。例如，您可能会将任何包含个人属性（如性别、年龄、种族等）的数据标记为PII权限标记。
每个敏感数据所有者一个权限标记
- 在这种结构下，数据所有者可以决定如何限制对他们拥有的数据的访问。对于每个敏感数据所有者一个权限标记，由一个团队或用户组拥有的敏感数据被标记，并且用户根据数据所有者的酌情决定被授予权限标记的访问权限。例如，所有由销售团队生产、消费和管理的数据可以由数据所有者标记为销售数据权限标记，只有合格的用户才能获得对销售数据的访问。
- 为了为数据所有者提供对其数据资产的额外控制，权限标记会传播。这意味着，如果有权限访问数据的用户尝试创建从数据中派生的资源以与其他用户共享，数据所有者需要授予其他用户访问权限标记的权限，以解锁他们对派生资源的访问。
不同管道阶段的权限标记
- 数据集可能以原始形式被引入Foundry，通常在与最终用户共享之前需要进行处理和变换。原始数据可能包含对下游用户不适合的敏感信息，管理员可以选择应用原始数据权限标记以限制未经授权用户的访问。在处理以移除PII（如哈希或加密）后，管理员可以移除原始数据权限标记并应用其他相关权限标记以进一步确保数据在管道中的安全。
使用权限标记限制数据发现
- 由于权限标记以全有或全无的方式限制访问，如果您必须隐藏文件、文件夹或项目等资源的存在，您应该使用它们。权限标记可以确保没有权限访问权限标记的用户在搜索结果或项目/文件夹视图中不会看到标记的数据。

在Foundry中的权限标记实现可能会使用上述策略的组合。例如，您可以在管道的起始处应用原始数据权限标记，然后在处理后按敏感数据类别应用权限标记。

示例：保护健康数据

考虑一个假想的医疗机构中三个层级的敏感患者数据：

合成数据：这是最不敏感的数据，用于模拟实际患者记录。所有合成数据都用合成数据权限标记标记。
去标识数据：这种类型的数据具有一些敏感字段，但所有直接标识符都已被移除。此数据可能与其他数据文件结合以识别患者。所有此类数据都用去标识数据权限标记标记。
含标识符的数据：这种类型的数据可能包含可以直接识别个人患者的标识符。这是患者数据的最高敏感级别。所有此类数据都用可识别数据权限标记标记。

在这种情况下，数据层级是分层的，具有可识别数据权限标记的用户也可以访问去标识数据权限标记和合成数据权限标记。类似地，具有去标识数据权限标记的用户也可以访问合成数据权限标记。

在Foundry中，带有标识符的数据（用可识别数据权限标记标记）通过移除标识符字段被变换为去标识数据（用去标识数据权限标记标记）。权限标记管理者或数据所有者会审核变换逻辑中的任何更改以确保去标识数据中没有标识符。额外的复杂变换生成合成数据，并用合成数据权限标记标记。在这些变换阶段中，显示在以下截图中的假想数据中，移除先前的权限标记并添加一个突出数据更新状态的权限标记。

data-transformation-markings

示例：保护调查数据

案例调查数据特别敏感，如反洗钱调查。一个案例的数据不能与另一个案例的数据混合。此外，当调查员正在审查不同的案例时，该案例的数据不应对调查员可见。权限标记能够实现这些案例访问限制：

与特定案例相关的数据，包括资源、图像、数据集和其他证据，均用一个唯一的案例 - xxxxxx权限标记标记，其中xxxxxx表示案例编号。
只有特定案例的调查员才被授予该案例权限标记的访问权限。一个调查员可能在同一时间访问多个案例，但这样的访问将通过单独的权限标记来区分。

case-markings

示例：保护银行数据

在一个假想的银行中，每个团队或部门对其产生或管理的数据拥有完全控制权。即，每个团队决定哪个其他团队可以访问其数据资产，无论是整体还是部分。对于此示例，我们通过考虑与权限标记对应的团队来简化组织设置：消费者金融、内部合规和市场营销。

假设消费者金融团队和市场营销团队分别给予内部合规团队对消费者金融和市场营销权限标记的访问权限。然后，内部合规团队可以验证数据是否正在适当地用于预先批准的工作流程，并进行季度审计。
季度审计的结果记录在一个带有内部合规权限标记的报告中，其他两个权限标记被移除。只有内部合规团队可以访问这些审计结果。如果内部合规团队想要与DPO（数据保护办公室）共享季度审计报告，内部合规团队可以授予DPO对内部合规权限标记的访问权限，以便DPO可以审核合规报告。

team-markings